Вирусы - блокираторы

Вирусы, блокирующие операционную систему Windows (Trojan.Winlock и аналоги). Эта эпидемия началась ещё в середине 2009 года, но до сих пор держит в напряжении и пользователей и разработчиков антивирусных программ. Принцип работы вируса — вывод на экран большого окна, перекрывающего все другие окна, на котором указано требование оплатить разблокировку. Вирус может использовать и небольшой элемент социальной инженерии, объясняя своё появление необходимостью оплаты штрафа за использование нелицензионного ПО или просмотр порнографических материалов

 

Блокираторы - вирусное программное обеспечение, препятствующее нормальной работе за персональным компьютером или же полная блокировка действий с ним

Название "Trojan.Winlock" давно стало характеризовать целую отрасль в вирусостроении, когда малварь не скрывает себя в системе, а наоборот всячески показывает свое присутствие, блокируя работу пользователя. Сначала способы выманивая денег напоминали скорее вымогательства (именно поэтому класс вирусов называется Ransomware – от английского слова ransom, выкуп), явно указывая на то, что экран блокирует вирус и сдастся он только после отправки SMS на платный номер. Позже, методы развода стали более изящными: пользователей припугивают, что появившееся окно является новой системой защиты Microsoft по борьбе с нелицензионным ПО, разыгрывают неплохой спектакль, прикидываясь антивирусом, который разом находит кипу вирусов в системе и так далее – главное, что во всех случаях проблемы предлагается быстро решить отправкой на короткий номер SMS.

Примеры вирусов-блокираторов вы можете увидеть на следующих скриншотах:

trojanwinlock7372 pic1wp1

 

 

Как разблокировать систему

Блокираторы могут ограничивать пользователя в посещении определенных страниц (например, Яндекса, Одноклассников, а также сайтов антивирусных компаний), в использовании браузера, но больше всего тех, и они серьезнее всех других, версий малвари, которая блокируют доступ к ресурсам операционной системы. Подхватив заразу, пользователь нарывается на то самое окно, в котором ему предлагается ввести код для разблокировки, полученный после отправки SMS на указанный номер. При этом выполнить какие-либо другие действия на компьютере невозможно или практически невозможно. Приложение либо вообще запрещает любые операции в системе, ограничивая поле деятельности активным окном, либо же внимательно следит за тем, что делает пользователь.

В любом случае, даже самые продвинутые блокеры – малварь, как правило, примитивная.

Все, что требуется от блокиратора – хорошенько ограничить пользователя в действиях и по возможности отрубить антививирусы (с чем, кстати, он нередко справляются). Так или иначе, заразу довольно легко удалить как вручную, так и с помощью многочисленных антивирусных инструментов.

Первые версии блокеров был легко обмануть, даже банальной перезагрузкой в безопасный режим. Далее можно либо скачать и запустить какой-нибудь антивирусный сканер, либо же расправиться с заразой вручную.

 

  1. Очевидно, что если выгрузить блокирующий процесс из памяти, то можно вернуть ОС к нормальному состоянию. И если с локального компьютера запустить менеджер задач не получается, то можно попробовать убить процесс малвари удаленно, воспользовавшись другим компьютером в сети. Для этого использоваться оболочка wmic (WMI Command-line), которой в качестве параметров можно передать адрес удаленной машины и имя пользователя, получив таким образом возможность выполнять команды удаленно:
    wmic /NODE: (например /NODE:192.168.1.12) /USER: (например, /USER:yastep)
    После того, как ты введешь пароль указанного в параметрах пользователя, появится интерактивная консоль. Управление процессами осуществляется с помощью команды process. Если запустить ее без параметров, то на экране отобразиться список процессов на удаленной системе. Дальше подход нехитрый: ищем подозрительные процессы и последовательно удаляем их с помощью все той же команды и ее ключа delete:
    process where name="" delete
    В результате получаем разблокированную систему, в которой можно приступать к лечению, о котором мы поговорим ниже.
  2. Имея дело с Windows XP/2000, можно попробовать нажать на клавиатуре комбинацию – должно появиться окно с активацией специальных возможностей, у которого очень большой приоритет и далеко не все трояны умеют эту ситуацию обрабатывать. Далее запускаем экранную лупу и в появившемся окне с предупреждением кликаем на ссылку "Веб-узел Майрософт", после чего запускается браузер, через который можно достучаться до любого исполняемого файла.
  3. Логично, что если добраться до реестра и файловой системы непосредственно из системы не получается, то можно попробовать сделать это с помощью другой ОС. Самый очевидный вариант – загрузиться с LiveCD. Один из самых подходящих дистрибутивов, который поможет реанимировать систему, называется ERD Commander. В торрентах широко распространен образ, включающий в себя версии продукта для реанимации разных ОС: 5.0 – для Windows XP, 6.0 – для Windows Vista, 6.5 – для Windows 7/Server 2008 R2. В результате получаем удачно созданный загрузочный билд винды, откуда можно запустить практически любые вспомогательные тулзы. Помимо таких таких rescue-наборов идеально подойдут специальные LiveCD от антивирусных компаний, которые уже имеют на борту средства для удаления заразы: Dr.Web LiveCD и Kaspersky Rescue Disk.

Ручное удаление

Самый верный способ обезвредить и удалить тело вируса, – отыскать, где она успела прописаться для автоматического запуска на старте системы. Вариантов очень много, и описывать все было бы просто глупо (в конце концов, с задачей неплохо справляются такие тулзы, как Hijackthis, Autoruns и OSAM). Но есть способ, который именно блокеры любят больше всего, и о нем грех не рассказать.

В реестре винды есть ключ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit, который определяет программы, которые Winlogon запускает, когда пользователь входит в систему. По умолчанию, Winlogon запускает файл Userinit.exe, который в свою очередь стартует logon-скрипты, устанавливает сетевые подключения, а затем запускает и Explorer.exe, т.е. пользовательский интерфейс Windows. Прописав до Userinit.exe путь до какой-нибудь программы, можно запустить ее, прежде чем стартует интерфейс Windows Explorer, а, прописав после, – обозначить старт конкретного приложения сразу после появление пользовательского интерфейса. Блокеры очень часто изменяют этот ключ, дописывая путь до своего исполняемого файла:

Userinit = %systemfolder%\userinit.exe, [путь до исполняемого файла блокера]

Само тело вируса обычно размещается где-нибудь в неприметном месте. Как вариант, прикидываясь временным файлом с расширением tmp, оно находится в каталоге с временными файлами Windows. Обнаружив в этом ключе подозрительные записи, удаляем подозрительные бинарники и возвращаем значение ключа до "%systemfolder%\userinit.exe".

Другой распространенный способ для автозапуска для блокеров – прописаться в ключе shell (находится в том же разделе реестра, что userinit), заменив стандартное значение explorer.exe на путь до зловредного бинарника.

Способов на деле очень много, но если отыскать подозрительные записи в реестре, то легко удалить и тела вирусов. Правда, некоторая малварь идет на самую малую хитрость и размещает свои файлы в скрытых потоках на диске, но тем проще ее обнаружить. Какие еще приложения используют такую возможность NTFS? Да никакие. Удалить их несложно с помощью утилиты streamsот Марка Руссиновича, запустив в консоли: streams.exe -d -s c:\